Introdução
A crescente utilização da Inteligência Artificial (IA), especialmente os modelos de Inteligência Artificial Generativa (IAGen), como ChatGPT, Gemini, e outros, tem-se tornado corrente, inclusive na Administração Pública. Estes sistemas permitem o acesso e a reutilização da informação disponível, em termos interativos, por cidadãos e organizações, geralmente através de incitamentos (“Prompts”) verbais. Para funcionar, os modelos de IA necessitam da inserção de dados, tanto pessoais quanto não pessoais, que estejam legitimamente disponíveis nas instituições, respeitando sempre os limites da legalidade. No entanto, a integração de dados abertos com modelos de IA levanta questões complexas, particularmente no que diz respeito à proteção dos dados pessoais. Este artigo explora os desafios e o enquadramento legal e regulamentar desta intersecção, com foco na experiência europeia.
O Desafio da Proteção de Dados em Modelos de IA
A utilização de dados em modelos de IA, quer para treino quer para resposta a interações, pressupõe a inserção de informação que pode incluir dados pessoais. Embora o Regulamento (UE) 2024/1689 (Regulamento da Inteligência Artificial) estabeleça regras harmonizadas, ele não oferece respostas específicas para todas as questões relacionadas com as respostas geradas pelos modelos, exceto no que se refere ao dever de transparência externa e à promoção da literacia interna em IA. Assim, a proteção de dados pessoais assume uma relevância central.
Anonomização como Resposta Fundamental
A questão da utilização de dados, incluindo megadados (“Big Data”), no contexto da IA não é inteiramente nova. Essencialmente, o desafio passa pela “anonimização” dos dados pessoais. É crucial a aplicação de técnicas que sejam suficientemente robustas para prevenir a reidentificação de dados anonimizados, bem como a identificabilidade a partir de dados não pessoais.
O Enquadramento Legal Europeu
Diversas fontes legais europeias abordam, direta ou indiretamente, a reutilização de informações e a proteção de dados. A Diretiva (UE) 2019/1024 sobre dados abertos e reutilização de informações do setor público, transposta em Portugal pela Lei n.º 68/2021, já contém disposições relevantes. O Regulamento (UE) 2022/868, relativo à governação europeia de dados (Regulamento Governação de Dados), aplicável desde setembro de 2023, também é pertinente para este tema.
Contudo, a anonimização é, por si só, um tratamento de dados pessoais, o que implica a aplicação direta do Regulamento Geral sobre a Proteção de Dados (RGPD) – Regulamento (UE) 2016/679. O RGPD exige a realização, e até a repetição, de avaliações de impacto sobre a proteção de dados (DPIA) e a prestação de informação específica aos titulares dos dados. Estas obrigações recaem sobre os responsáveis pelo tratamento, que devem assegurar a proteção dos dados “desde a conceção e por defeito” (privacy by design and by default).
A Orientação do “Soft Law”
Para além da legislação vinculativa, as orientações de organismos como o Grupo de Trabalho do Artigo 29.º (GT 29), atual Comité Europeu para a Proteção de Dados (CEPD), e a Autoridade Europeia para a Proteção de Dados (AEPD), têm sublinhado consistentemente a necessidade de mitigar os riscos de reidentificação. Pareceres importantes, desde 2003 até orientações mais recentes focadas especificamente em IA, reforçam que a anonimização continua a ser uma questão de relevância nuclear no tratamento de dados pessoais no contexto da IA. Estes documentos complementam a legislação, alertando para a necessidade de adaptação perante a evolução tecnológica.
Conclusão
A integração de dados abertos em modelos de IA oferece vastas oportunidades, mas exige uma atenção rigorosa à proteção dos dados pessoais. A legislação europeia, nomeadamente o RGPD, o Regulamento Governação de Dados e a Diretiva de Dados Abertos, em conjunto com as orientações das autoridades de proteção de dados, estabelecem um quadro para a reutilização segura da informação. A anonimização robusta e a aplicação dos princípios de privacidade desde a conceção e por defeito, suportados por avaliações de impacto contínuas, são essenciais para equilibrar a inovação trazida pela IA com o direito fundamental à proteção de dados.
——————————————————————————–
Possíveis Referências Bibliográficas:
•
Masseno, Manuel David. (2025). Subsídios para os Diálogos disruptivos: Dos “dados abertos” perante os modelos de IA acarreando alguns tópicos e incitamentos (prompts) para a investigação, em especial, no respeitante à proteção dos dados pessoais. (Baseado nos excertos fornecidos).
•
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados).
•
Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informações do setor público.
•
Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados.
•
Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial (Regulamento da Inteligência Artificial).
•
Pareceres do Grupo de Trabalho do Artigo 29.º (GT 29) e do Comité Europeu para a Proteção de Dados (CEPD), nomeadamente: Parecer n.º 7/2003, Parecer n.º 6/2013, Parecer n.º 5/2014, Parecer conjunto 3/2021 (CEPD e AEPD), Parecer conjunto 5/2021 (CEPD e AEPD), Parecer n.º 28/2024.
•
Lei n.º 68/2021, de 26 de agosto (Transposição da Diretiva (UE) 2019/1024).